我最近一直在閱讀 TMG HTTPS 檢查的功能
http://technet.microsoft.com/en-us/library/ee658156.aspx
用例背後的理論聽起來不錯(您希望阻止從 HTTPS 網站下載惡意軟體)
但基本上 TMG 正在充當「中間人」攻擊。
根據工作域的設定方式,這一切都可能發生,甚至不需要使用者知道他們的 HTTPS 流量正在接受檢查。隱私就這麼多了。
工作域需要做的就是使用自簽章 TMG 憑證的受信任根憑證強制執行群組原則。
瀏覽器是否報告 HTTPS 無效?
答案1
從技術上講,不會,證書將受到信任,而您卻一無所知。請注意,TMG 雖然具有說明性,但卻是一個轉移注意力的內容;網域電腦可以出於其他原因安裝網域憑證。
您必須信任任何已安裝的憑證供應商,只為網域頒發有效憑證;理論上,您的 IT 部門可以攔截任何 HTTPS 流量並為其和 MITM 您產生證書,並且您將信任該證書,因為您的內部名稱是受信任的提供者。
也就是說,您必須擁有強大的 IT 部門才能實現這一目標。考慮到有多少 IT 部門幾乎無法管理這些平庸的事情,我不會對此太擔心。您可以透過網址列以常規方式檢查證書資訊來發現此類騙局;證書頒發者將是您的內部網域。